Zoom-lek geeft websites toegang tot miljoenen webcams
Een beveiligingslek in de videoconferentiesoftware Zoom maakt het voor willekeurige websites mogelijk om toegang tot miljoenen webcams te krijgen. Alleen het bezoeken van een website volstaat om de aanval uit te voeren. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt.
Organisaties gebruiken het voor videoconferenties en andere zaken. Zoom claimde in 2015 meer dan 40 miljoen gebruikers te hebben. Een kwetsbaarheid in de Zoom-software voor macOS zorgt ervoor dat willekeurige websites gebruikers zonder toestemming aan een Zoom-gesprek kunnen laten deelnemen, met hun webcam ingeschakeld. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site.
De kwetsbaarheid die toegang tot de webcam geeft maakt gebruik van een feature in Zoom om uitnodigingslinks te versturen. Zodra een gebruiker een dergelijke link in hun browser opent wordt de Zoom-software gestart. Onderzoeker Jonathan Leitschuh ontdekte dat deze feature niet op veilige wijze is geïmplementeerd. Het is mogelijk om de uitnodigingslink in een iframe te verbergen die vervolgens bij het bezoeken van de betreffende website automatisch wordt uitgevoerd.
Leitschuh rapporteerde de kwetsbaarheid op 26 maart van dit jaar aan Zoom. Het softwarebedrijf had tien dagen nodig om de kwetsbaarheid te bevestigen. Uiteindelijk heeft Zoom besloten de kwetsbaarheden waardoor gebruikers door alleen het bezoeken van een website aan een videoconferentie kunnen worden toegevoegd of de Zoom-software opnieuw wordt geïnstalleerd niet te verhelpen. Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring.
Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten. Tevens zal het bedrijf een update uitbrengen die ervoor zorgt dat de video-instelling van de eerste Zoom-meeting wordt onthouden. Als gebruikers bij die eerste meeting hebben ingesteld dat de webcam moet zijn uitgeschakeld, zal dit ook voor toekomstige meetings gelden. Daarnaast hebben gebruikers de optie om de webcam via de instellingen uit te schakelen.
Een meting met malware mafiosi is volgens de ontwikkelaars van Zoom dus ook een feature die de gebruiksvriendelijkheid van hun software verhoogd....?
en dan:
Wablief?
Dat geloof je toch niet.
Exploitatie van een kwetsbaarheid bij slechts bezoeken van een gecompromiteerde website gebeurt in minder dan miliseconden bij de huidige processorsnelheden. Het is daarom toch zot te adviseren dat je snel genoeg bent om te interveniëren in een malware exploitatie door nog op een knopje te gaan klikken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?